LG유플러스 사용자들이 가입자식별번호(IMSI)를 암호화하지 않은 회사 때문에 전화·문자사기(피싱) 위험에 노출돼 있다는 지적이 이어졌다. IMSI 탈취를 통해 입수한 휴대전화 번호로 통화에 성공한 사례가 전문가 커뮤니티를 중심으로 공유되면서 유심(USIM) 교체를 꼭 해야 한다는 목소리가 나왔다.

16일 ‘클리앙’ 등 몇몇 국내 커뮤니티 사이트에는 LG유플러스 가입자의 IMSI를 탈취해 획득한 휴대전화번호로 전화통화가 이뤄지는 시연영상이 소개됐다. 국제 오픈소스 소프트웨어 개발·공유 플랫폼인 ‘깃허브’에 처음 올라온 이 영상에는 작성자가 가짜 기지국 장비인 ‘IMSI 캐처’를 사용해 LG유플러스 가입자의 IMSI를 획득, 해당 사용자의 전화로 통화하는 모습이 담겼다.

IMSI는 개별 통신 사용자를 구별하는 고유번호다. 유심(USIM)에 국가번호, 이동통신사 식별번호, 개인식별번호 등을 묶어 15자리로 저장한다. SK텔레콤과 KT는 개인식별 번호에 난수, 무작위 일련번호를 사용하는 반면 LG유플러스는 고객 전화번호를 그대로 부여해 왔다. 해당 영상에서 통화가 가능했던 것도 IMSI에 전화번호가 노출돼 있었기 때문이다.

시연영상 작성자는 LG유플러스 가입자들이 전화 추적 및 전화·문자사기 위험에 노출돼 있다며 회사측의 투명한 설명과 한국 정부의 제재를 주장했다.

이 영상 내용을 공유한 클리앙 사용자는 “(LG유플러스는) 더 나은 보안을 위해 업데이트를 해준다는 식으로 접근하고 있는데, 그것은 좀 이번 사태의 본질을 흐릿하게 하고 있는 부분”이라며 “휴대폰번호와 IMSI값이 함께 노출되었다는 것은 이런 취약성을 악용하는 범죄자들에게 나도 모르는 사이 강력범죄에 노출될 빌미를 제공한 것”이라고 비판했다.

다른 LG유플러스 사용자는 “대수롭지 않은 줄 알았는데 겁이 난다”며 “유심교체를 꼭 해야겠다”고 말했다.

LG유플러스는 IMSI 보안 우려와 관련해 전 고객을 대상으로 유심 교체 및 업데이트 조치를 진행 중이다.

LG유플러스 관계자는 17일 “영상 속 기법을 고려했을 때 실제 범죄로 이어질 가능성은 극히 낮고 사례가 포착된 바도 없다”며 “만전을 기하기 위해 사용자들이 안심할 수 있도록 유심 교체 및 업데이트 조치를 적극 실시할 것”이라고 말했다.

한편 앞서 14일 김장겸 국민의힘 의원이 국회입법조사처로부터 제출받은 ‘LGU+ IMSI 관련 개인정보보호법 검토’에 따르면 입법조사처는 IMSI가 전화번호와 사실상 동일한 식별력을 가지는 경우 통신사가 아닌 제3자에게도 개인정보로 평가될 수 있다고 판단했다.

이재걸 기자 claritas@naeil.com